VPN是如何工作的？

几年前，连接多个办公室计算机最常见的方式是使用专线。专线，例如ISDN（综合业务数字网络，128 Kbps），是电信公司可以租给客户的私人网络连接。专线为公司提供了一种将其私人网络扩展到其 immediate 地理区域之外的方式。这些连接为企业形成了一个单一的广域网（WAN）。尽管专线可靠且安全，但租赁费用昂贵，并且随着办公室之间距离的增加而成本上升。

如今，互联网比以往任何时候都更容易访问，互联网服务提供商（ISP）继续以比专线更低的成本开发更快、更可靠的服务。为了利用这一点，大多数企业已经用新技术取代了专线，这些技术利用互联网连接，而不会牺牲性能和安全性。企业首先建立了内部网，即仅供公司员工使用的私人内部网络。内部网使远方的同事可以通过桌面共享等技术协同工作。通过添加VPN服务器，企业可以将其内部网的所有资源扩展到远程办公室或在家工作的员工。

如今，VPN的功能远不止于此，它们也不再仅仅适用于企业。对通过不安全的公共WiFi网络保护通信以及在在线交易中保持匿名的个人，已开始订阅付费VPN服务。这些服务的功能与企业VPN非常相似，但它们通过VPN提供商连接到互联网，而不是通过私人企业。

换句话说，VPN可以保护您的计算机、智能手机以及您连接到互联网的任何其他设备免受黑客和恶意软件的侵害，同时保护您的所有个人数据和通信不被窥探。随着网络犯罪的增加，很容易理解为什么这么多人开始使用它们。

付费VPN服务的功能与企业VPN非常相似，但它们通过VPN提供商连接到互联网，而不是通过私人企业。这些服务使用起来非常简单。您只需下载软件，将其安装到您的设备上，然后连接到您选择的服务器。只要您的VPN连接着，没有人（甚至您的互联网服务提供商）能知道您是谁、您身在何处或您在网上做什么。

如果您使用公共WiFi网络，VPN可以提供安全的连接。它甚至可以使其匿名。如果您旅行，VPN可以让你访问来自您的祖国的地理限制网站和流媒体内容（甚至您的本地Netflix库），即使您身在国外。一些精选的VPN甚至可以在您访问有严格审查政策的国家，如中国或俄罗斯时，让您保持与所有您喜欢的网站的连接。

接下来，让我们通过一个类比来探讨VPN与其他网络选项的区别。

想象一下，您住在一个浩瀚海洋中的一个岛屿上。周围有成千上万的其他岛屿，有些非常近，有些则更远。岛屿之间常见的交通工具是渡轮。乘坐渡轮意味着您几乎没有隐私：其他人可以看到您所做的一切。

假设每个岛屿代表一个私人局域网（LAN），海洋是互联网。乘坐渡轮就像通过互联网连接到网络服务器或其他设备。您无法控制构成互联网的电线和路由器，就像您无法控制渡轮上的其他人一样。如果您试图使用公共资源连接两个私人网络，这会使您容易受到安全问题的影响。

继续我们的类比，您的岛屿决定修建一座桥到另一个岛屿，以便人们在两个岛屿之间有更便捷、更安全、更直接的交通方式。建造和维护这座桥梁成本很高，即使岛屿相距很近。然而，对可靠、安全路径的需求如此之大，以至于您无论如何都要修建它。您的岛屿还想连接到一个更远的岛屿，但认为成本太高而无法承受。

这种情景代表了拥有专线。桥梁（专线）独立于海洋（互联网），但能够连接岛屿（局域网）。选择这种选项的公司之所以这样做，是因为需要安全可靠地连接其远程办公室。然而，如果办公室相距很远，成本可能会高得令人望而却步——就像试图建造一座跨越遥远距离的桥梁一样。

那么VPN是如何融入的呢？根据我们的类比，假设您岛上的每个居民都有一艘小型潜水艇。我们假设每艘潜水艇都具有这些惊人的特性：

尽管它们与其他交通工具一起在海洋中航行，但人们可以随时在岛屿之间私密而安全地旅行。这基本上就是VPN的工作原理。您的网络中的每个远程成员都可以使用互联网作为介质，以安全可靠的方式连接到私人局域网。VPN可以比租用专线更容易地扩展以容纳更多用户和不同位置。事实上，可扩展性是VPN相对于租用专线的一大优势。此外，距离并不重要，因为VPN可以轻松连接全球多个地理位置。

接下来，我们将探讨什么是好的VPN，包括其优点和特点。

VPN的目的是在现有公共网络（通常是互联网）上，提供计算机网络之间可靠、安全和加密的连接。

在了解使VPN成为可能的技术之前，让我们先考虑一下人们对VPN的期望所带来的所有好处和功能。

精心设计的VPN服务提供商将提供以下好处：

公司可能不需要其企业VPN具备所有这些好处，但它应该要求以下基本VPN功能：

公共VPN提供商通常根据他们是否捕获用户的信息以及他们在多少个国家拥有远程服务器来评估。由于VPN将用户的信息私有化，因此用户可以使用VPN连接来隐藏其连接位置，这可能允许访问受地理限制的信息，例如仅限于特定国家/地区访问的电视服务。

关于VPN，一个有趣的地方在于，没有关于如何设置它们的标准。本文涵盖了网络、身份验证和安全协议，这些协议提供了上面列出的功能和优势。它还描述了VPN的组件如何协同工作。但是，如果您正在建立自己的VPN，则由您决定使用哪些VPN协议和组件，并了解它们如何协同工作。

接下来的两页描述了两种常见的VPN类型。我们先从最能代表VPN这个术语的类型说起。

远程访问VPN允许单个用户与远程计算机网络建立安全连接。这些用户可以访问该网络上的安全资源，就好像他们直接插入到网络的服务器中一样。需要远程访问VPN的公司的一个例子是拥有数百名现场销售人员的大公司。这种类型的VPN的另一个名称是虚拟专用拨号网络（VPDN），这表明在其最初形式中，远程访问VPN需要使用模拟电话系统拨号连接到服务器。

远程访问VPN需要两个组件。第一个是网络访问服务器（NAS，口语中通常发音为“nazz”），也称为媒体网关或远程访问服务器（RAS）。（注意：IT专业人员也用NAS指代网络附加存储。）NAS可能是一个专用服务器，也可能是运行在共享服务器上的多个软件应用程序之一。用户通过互联网连接到NAS，以使用VPN。NAS要求用户提供有效的凭据才能登录VPN。为了验证用户的凭据，NAS使用其自己的身份验证过程或网络上运行的单独的身份验证服务器。

远程访问VPN的另一个必需组件是客户端软件。换句话说，希望通过其计算机使用VPN的员工需要在这些计算机上安装能够建立和维护与VPN连接的软件。如今大多数操作系统都内置了可以连接到远程访问VPN的软件，尽管某些VPN可能要求用户安装特定的应用程序。客户端软件设置到NAS的隧道连接，用户通过其互联网地址指示该NAS。该软件还管理保持连接安全所需的加密。您可以在本文后面阅读有关隧道和加密的更多信息。

大型企业或拥有资深IT员工的企业通常会购买、部署和维护自己的远程访问VPN。企业也可以选择通过企业服务提供商（ESP）外包其远程访问VPN服务。ESP为企业设置NAS并使其NAS平稳运行。

远程访问VPN非常适合个人员工，但对于拥有数十甚至数百名员工的整个分支机构呢？接下来，我们将介绍另一种用于保持企业局域网到局域网连接的VPN类型。

站点到站点VPN允许位于多个固定位置的办公室通过公共网络（如互联网）相互建立安全连接。站点到站点VPN扩展了公司的网络，使一个位置的计算机资源可供其他位置的员工使用。

需要站点到站点VPN的公司的一个例子是拥有全球数十个分支机构的不断发展的公司。

站点到站点VPN有两种类型：

尽管站点到站点VPN的目的与远程访问VPN不同，但它可以使用一些相同的软件和设备。然而，理想情况下，站点到站点VPN应消除每台计算机运行VPN客户端软件的需要，就像它在远程访问VPN上一样。本文后面描述的专用VPN客户端设备可以在站点到站点VPN中实现此目标。

既然您已经了解了VPN的两种类型，那么让我们看看您的数据在VPN中传输时是如何保持安全的。

大多数VPN依靠隧道技术在公共互联网的混乱中创建一个私人网络。在我们的文章“互联网如何工作？”中，我们描述了每个数据文件如何被分解成一系列数据包，以便由连接到互联网的计算机发送和接收。隧道是将整个数据包放置在另一个数据包中，然后通过互联网传输的过程。外部数据包保护内容不被公开查看，并确保数据包在虚拟隧道内移动。

这种数据包的分层称为封装。隧道两端的计算机或其他网络设备，称为隧道接口，可以封装传出数据包并重新打开传入数据包。用户（在隧道的一端）和IT人员（在隧道的一端或两端）配置他们负责的隧道接口以使用隧道协议。隧道协议也称为封装协议，是一种封装数据包的标准化方式[来源：Microsoft]。本文后面，您可以阅读有关VPN使用的不同隧道协议。

隧道协议的目的是增加一层安全性，以保护每个数据包在互联网上的传输。数据包以与不使用隧道时相同的传输协议传输；此协议定义了每台计算机如何通过其ISP发送和接收数据。每个内部数据包仍然保持乘客协议，例如互联网协议（IP），它定义了它如何在隧道的两端的局域网上传输。（有关计算机如何使用常见网络协议进行通信的更多信息，请参阅侧栏。）用于封装的隧道协议增加了一层安全性，以保护数据包在互联网上的传输。

为了更好地理解协议之间的关系，可以将隧道视为由运输公司将计算机交付给您。发送计算机的供应商将计算机（乘客协议）包装在一个盒子（隧道协议）中。然后，托运人将该盒子放在供应商仓库（一个隧道接口）的运输卡车（传输协议）上。卡车（传输协议）通过高速公路（互联网）行驶到您的家中（另一个隧道接口）并交付计算机。您打开盒子（隧道协议）并取出计算机（乘客协议）。

一些VPN，例如ExpressVPN，具有分流隧道功能。这意味着您可以选择哪些应用程序通过VPN发送数据，哪些使用您的常规本地连接。

既然我们已经研究了隧道中的数据，那么让我们看看每个接口背后的设备。

虽然VPN可以在通用计算机设备（如标准服务器）上配置，但大多数企业选择专用于VPN和一般网络安全的专用设备。一家小型公司可能将其所有VPN设备放置在现场，或者如前所述，将其VPN服务外包给企业服务提供商。拥有分支机构的大型公司可能会选择将其部分VPN设备进行托管，这意味着它将在托管设施（或colo）中设置该设备。托管设施是一个大型数据中心，向需要设置服务器和其他网络设备的公司出租空间，这些公司需要非常快速、高度可靠的互联网连接。

如前所述，VPN的设置没有统一的标准。然而，在规划或扩展VPN时，您应考虑以下设备：

AAA服务器一个广泛使用的标准是远程认证拨号用户服务（RADIUS）。尽管其名称如此，RADIUS不只适用于拨号用户。当RADIUS服务器是VPN的一部分时，它处理通过VPN NAS的所有连接的身份验证。

VPN组件可以与其他软件一起在共享服务器上运行，但这不常见，并且可能会危及VPN的安全性和可靠性。没有外包VPN服务的小型企业可能会在通用服务器上部署防火墙和RADIUS软件。但是，随着企业VPN需求的增加，其对优化VPN的设备的需求也会增加。以下是企业可以添加到其网络的专用VPN设备。您可以从生产网络设备的公司购买这些设备：

到目前为止，我们已经了解了VPN的类型以及它们可以使用的设备。接下来，让我们更仔细地看看VPN组件使用的加密和协议。

赞助链接：点击此处了解更多关于VPN硬件和在路由器上安装VPN的信息。

加密是将数据编码的过程，只有拥有正确解码器的计算机才能读取和使用它。您可以使用加密来保护计算机上的文件或发送给朋友或同事的电子邮件。加密密钥告诉计算机对数据执行哪些计算以进行加密或解密。最常见的加密形式是对称密钥加密或公钥加密：

在VPN中，隧道两端的计算机对进入隧道的数据进行加密，并在另一端对其进行解密。然而，VPN需要的不仅仅是一对密钥来应用加密。这就是协议发挥作用的地方。站点到站点VPN可以使用互联网协议安全协议（IPSec）或通用路由封装（GRE）。GRE提供了如何将乘客协议打包以便通过互联网协议（IP）传输的框架。此框架包含有关您正在封装的数据包类型以及发送方和接收方之间连接的信息。

IPSec是一种广泛用于保护IP网络（包括互联网）流量的协议。IPSec可以在各种设备之间加密数据，包括路由器到路由器、防火墙到路由器、桌面到路由器以及桌面到服务器。IPSec由两个子协议组成，它们提供了VPN保护其数据包所需的指令：

联网设备可以使用IPSec的两种加密模式之一。在传输模式下，设备加密它们之间传输的数据。在隧道模式下，设备在两个网络之间建立虚拟隧道。正如您可能猜到的那样，VPN在隧道模式下使用IPSec，其中IPSec ESP和IPSec AH协同工作[来源：Friedl]。

在远程访问VPN中，隧道技术通常依赖于点对点协议（PPP），它是互联网使用的原生协议的一部分。更准确地说，远程访问VPN使用基于PPP的三种协议之一：

在本文中，我们已经探讨了VPN的类型以及它们使用的组件和协议。随着时间的推移，人们开发了新的、更好的技术用于网络，这改进了现有VPN的功能。然而，VPN特有的技术，例如隧道协议，在这段时间里并没有太大变化，这或许是因为当前的VPN在连接全球企业方面做得非常好。请继续阅读下一页，了解更多关于虚拟私人网络的信息。